安全金鑰保安最好? Google 8.5萬員工帳戶零入侵
發布時間: 2018/07/25 19:29
用家要登入電腦帳戶,除了一般密碼、簡訊雙重認證,近年也有新的「U2F安全金鑰(Universial 2nd Factor Security Key」方法確認身份,安全金鑰為一實體USB裝置,在需要輸入密碼時將其當作鑰匙插入電腦,就可登入。資訊保安人員一直稱安全金鑰為現時較為安全的登入方式,而Google逾8.5萬員工自2017年起全面使用安全金鑰,直至現在仍未有帳號被入侵,或能證明此方法確實較安全。
專門撰寫有關網絡安全文章的網誌Krebs on Security於23日發文,引述Google發言人指,自從2017年初旗下逾8.5萬名員工轉用安全金鑰,至今無收到有關員工帳戶被入侵的報告,又補充,依據不同App或系統的敏感程度,員工登入時會被要求使用安全金鑰。
Google在使用安全金鑰作為登入工具前,員工主要使用Google Authenticator雙重認證app,員工每次登入會在app收到一次性密碼,輸入帳戶密碼及該碼即可登入。
而安全金鑰的原理則像鎖與鑰匙,員工的電腦要先於支援安全金鑰的網站註冊,成為「鎖頭」,當用家要登入時需把USB安全金鑰插入電腦,並於電腦按下確認「開鎖」,不需輸入密碼就可登入。由於此方法需要物理鑰匙才能登入,可降低帳戶被入侵風險。
不過,此方法仍未十分普及,目前只有Google Chrome和Opera直接支援,而Firefox則要特別設置才能使用,Microsoft Edge預計今年內開始支援,而蘋果Safari則未有計劃。即使瀏覽器支援,現時仍只有少數網站如Facebook支援金鑰登入。